Menu
Wave top
sensitive-personal-data-cover

Følsomme personoplysninger | Hjemmelsgrundlag

Det er forbudt at behandle følsomme personoplysninger, medmindre du har et hjemmelsgrundlag i artikel 9, stk. 2, i GDPR. Denne guide hjælper dig med at finde dit retsgrundlag for behandling af følsomme personoplysninger.

  • Følsomme personoplysninger
  • Dobbelthjemmel
  • 12 eksempler
Wave Bottom

Hjemmel til behandling af følsomme personoplysninger

Databeskyttelsesforordningen forbyder behandlingen af følsomme personoplysninger med mindre, at man har hjemmel i artikel 9, stk.2 i databeskyttelsesforordningen til at behandle disse. I denne artikel vil vi derfor beskrive disse hjemler, så du kan identificere hjemlerne til din behandling af følsomme personoplysninger.

Hvis du har behov for en genopfriskning af, hvad følsomme personoplysninger er, så kan du læse vores artikel om dette.

Dobbelthjemmel

Vi har tidligere beskrevet hvordan, at du skal have hjemmel i databeskyttelsesforordningens artikel 6, stk. 1 for at behandle almindelige personoplysninger, men ved behandlingen af følsomme personoplysninger skal du også have hjemmel heri - udover også at have hjemmel i artikel 9, stk. 2. 

Du skal derfor have hjemmel i først artikel 6, stk.1 og dernæst hjemmel i artikel 9, stk. 2 for at behandle følsomme personoplysninger.

Eksempel

Lad os illustrere, hvordan kravet om dobbelthjemmel fungerer med et hospital, som skal behandle en patients helbredsoplysninger.

  1. Hospitalet behandler patientens data, fordi det udfører en opgave pålagt af staten, og henter derfor hjemmel i artikel 6, stk. 1, litra e) som netop vedrører “offentlig myndighedsudøvelse”. 

  2. Hospitalet skal dernæst finde hjemlen til at behandle følsomme helbredsoplysninger, da dette er nødvendige for at levere sundhedspleje og medicinsk behandling til patienten, og derfor kan de anvende i artikel 9, stk.2, litra h, som en hjemmel til at behandle følsomme personoplysninger. Denne hjemmel m.fl. kan du læse om i det følgende.

Liste med hjemler til behandling af følsomme personoplysninger

I resten af denne artikel kan du læse om alle hjemlerne til brug for behandling af følsomme personoplysninger med tilhørende eksempler:  

  • Udtrykkeligt samtykke - Artikel 9, stk. 2. litra a.
  • Arbejdsretlige forpligtelser - Artikel 9, stk. 2. litra b.
  • Beskyttelse af vitale interesser - Artikel 9, stk. 2. litra c.
  • Non-profit organisationer - Artikel 9, stk. 2. litra d.
  • Offentliggjorte oplysninger - Artikel 9, stk. 2. litra e.
  • Retskrav - Artikel 9, stk. 2. litra f.
  • Væsentlig offentlig interesse - Artikel 9, stk. 2. litra g.
  • Sundhed og socialforsorg - Artikel 9, stk. 2. litra h.
  • Folkesundhed - Artikel 9, stk. 2. litra i.
  • Arkivering og forskning - Artikel 9, stk. 2. litra j.

Det er vigtigt, at du også selv studerer dine hjemmelsgrundlag i databeskyttelsesforordningen, som du kan finde et link til her.

Udtrykkeligt samtykke

Artikel 9, stk. 2. litra a.

Med et udtrykkeligt samtykke kan du behandle følsomme personoplysninger. Her er det vigtigt, at der kræves et udtrykkeligt samtykke, og ikke blot et almindeligt samtykke, som man kan bruge til behandlingen af almindelige personoplysninger. Et udtrykkeligt samtykke kræver, at det er klart, utvetydigt og dokumenteret, at vedkommende har givet samtykke til behandlingen, fx med en skriftlig erklæring eller en eksplicit handling.

Eksempel

En virksomhed ønsker at bruge medarbejdernes fingeraftryk som adgangskontrol, hvilket er en følsom personoplysning. Medarbejderne har stadig mulighed for at bruge deres gamle nøglekort, så brugen af biometriske oplysninger er frivillig. Virksomheden vælger derfor udtrykkeligt samtykke som hjemmel til behandlingen.

I dette tilfælde er dobbetlhjemlen: 

  • Artikel 6, stk. 1, litra a: Samtykke
  • Artikel 9, stk. 2, litra a: Udtrykkeligt samtykke

Arbejdsretlige forpligtelser

Artikel 9, stk. 2. litra b.

Du kan behandle følsomme personoplysninger, hvis det er nødvendigt for at opfylde dine forpligtelser inden for arbejds-, sundheds- eller socialretten. Brug af denne hjemmel kræver, at behandlingen er fastsat i lovgivning eller fx i en kollektiv overenskomst.

Eksempel

En arbejdsgiver kan være nødt til at behandle oplysninger om medarbejderes sygemeldinger for at sikre, at de får den rette løn under sygdom, hvilket er fastsat i overenskomst eller lovgivning.

Det kan også være nødvendigt at behandle oplysninger om en medarbejders handicap for at tilpasse arbejdspladsen, så medarbejderen kan udføre sit arbejde under passende forhold.

I begge tilfælde er dobbelthjemlen:

  • Artikel 6, stk. 1, litra c: Retlig forpligtelse
  • Artikel 9, stk. 2, litra b: Arbejdsretlige forpligtelser

Beskyttelse af vitale interesser

Artikel 9, stk. 2. litra c.

Du kan behandle følsomme personoplysninger, hvis det er nødvendigt for at beskytte en persons vitale interesser, når der ikke er andre gældende hjemler, og når personen ikke er i stand til at give samtykke. Denne hjemmel anvendes typisk i nødsituationer, hvor behandlingen er nødvendig for at kunne hjælpe vedkommende. 

For at sikre, at bestemmelsen ikke bruges vilkårligt, så skal behandlingen være strengt nødvendig og proportional i forhold til formålet. Det betyder, at oplysninger kun må behandles i det omfang, det er absolut nødvendigt for at beskytte vedkommendes vitale interesser.

Eksempel

En medarbejder mister bevidstheden på arbejdspladsen, og arbejdsgiveren ringer derfor til alarmcentralen, som beder om at få oplysninger om medarbejderens medicinske historie, som fx allergier eller medicin. I denne situation er det nødvendigt at behandle oplysningerne for at beskytte den ansattes liv.

I dette tilfælde er dobbetlhjemlen:

  • Artikel 6, stk. 1, litra d: Beskyttelse af vitale interesser
  • Artikel 9, stk. 2, litra c: Behandling er nødvendig for at beskytte vitale interesser

Non-profit organisationer

Artikel 9, stk. 2. litra d

Foreninger, stiftelser eller andre organisationer, der ikke arbejder for gevinst, men som har et politisk, filosofisk, religiøst eller fagforeningsmæssigt formål, kan behandle følsomme personoplysninger, hvis det er nødvendigt i henhold til foreningens formål.

Dette gælder dog kun, når oplysningerne vedrører organisationens medlemmer, tidligere medlemmer eller personer, der har regelmæssig kontakt med organisationen, og når oplysningerne ikke videregives uden samtykke.

Eksempel

En fagforening behandler oplysninger om sine medlemmers fagforeningsmæssige tilhørsforhold for at kunne repræsentere dem i forhandlinger. Behandlingen sker som led i fagforeningens aktiviteter og omfatter kun medlemmer eller tidligere medlemmer. 

Dobbelthjemlen i dette tilfælde er:

  • Artikel 6, stk. 1, litra f: Legitime interesse
  • Artikel 9, stk. 2, litra d: Behandling af non-profit organisationer

Offentliggjorte oplysninger

Artikel 9, stk. 2. litra e.

Du kan behandle følsomme personoplysninger om en person, hvis denne selv har gjort oplysningerne offentligt tilgængelige fx via deres personlige hjemmeside, via sociale medier, eller lignende. Behandlingen må dog ikke gå ud over, hvad der med rimelighed kan forventes i forhold til vedkommendes egen offentliggørelse af oplysningerne jf. databeskyttelsesprincippet om formålsbegrænsning.

Eksempel

En kunstner offentliggør på sin personlige hjemmeside, at vedkommende er diagnosticeret med en bestemt kronisk sygdom, hvilket har inspireret deres seneste kunstværk. En sundhedsorganisation, der arbejder med samme sygdom, bruger denne oplysning i en rapport for at skabe opmærksomhed omkring sygdommen. Organisationen gør det, fordi oplysningerne allerede er offentligt tilgængelige, og behandlingen respekterer kunstnerens formål med at dele informationen.

Dobbelthjemlen i dette tilfælde er:

  • Artikel 6, stk. 1, litra f: Legitim interesse
  • Artikel 9, stk. 2, litra e: Offentliggjorte oplysninger

Retskrav

Artikel 9, stk. 2. litra f.

Du kan behandle følsomme personoplysninger, hvis det er nødvendigt for at etablere, udøve eller forsvare et retskrav. Dette inkluderer behandling af oplysninger i forbindelse med juridiske tvister, også uden for retssager, hvor der er behov for dokumentation eller handling for at beskytte eller fremme et krav.

Eksempel

En fødevarevirksomhed behandler helbredsoplysninger om forbrugere, der er blevet syge efter at have indtaget et af virksomhedens produkter. Oplysningerne bruges til at dokumentere skadesomfanget og til at vurdere virksomhedens ansvar som led i en retssag anlagt mod virksomheden. Behandlingen er nødvendig for at kunne forsvare virksomhedens retskrav og håndtere sagen korrekt.

Dobbelthjemlen i dette tilfælde er:

  • Artikel 6, stk. 1, litra f: Legitim interesse
  • Artikel 9, stk. 2, litra f: Retskrav

Væsentlig offentlig interesse

Artikel 9, stk. 2. litra g.

Følsomme personoplysninger kan behandles, hvis det er nødvendigt af hensyn til væsentlige samfundsinteresser, der er fastsat i lovgivningen. Behandlingen af oplysningerne skal være proportional og understøtte formålet med den specifikke lovgivning, der giver hjemlen.

Eksempel

En offentlig myndighed arrangerer en høring om arbejdsmarkedslovgivning og inviterer repræsentanter fra forskellige fagforeninger og religiøse grupper til at deltage. For at sikre korrekt registrering og repræsentation noterer myndigheden deltagernes tilhørsforhold til de respektive organisationer. Behandlingen er nødvendig for at fremme dialog og sikre inklusion i lovgivningsprocessen.

Dobbelthjemlen i dette tilfælde er:

  • Artikel 6, stk. 1, litra e: Offentlig myndighedsudøvelse
  • Artikel 9, stk. 2, litra g: Væsentlig offentlig interesse

Sundhed og socialforsorg

Artikel 9, stk. 2. litra h.

Du kan behandle følsomme personoplysninger, hvis det er nødvendigt for forebyggende medicin, arbejdsmedicin, vurdering af arbejdstagerens erhvervsevne, medicinsk diagnose, ydelse af social- og sundhedsomsorg eller -behandling, eller forvaltning af social- og sundhedsomsorg og -tjenester. Behandlingen skal ske enten i henhold til lovgivning eller som en del af en kontrakt med en sundhedsperson, og behandlingen skal udføres af fagpersoner, der er underlagt tavshedspligt.

Eksempel

En lægeklinik behandler følsomme personoplysninger om patienters helbred som led i deres arbejde med at diagnosticere og behandle patienter. Behandlingen inkluderer blandt andet journalføring og ordination af medicin. Behandlingen sker med hjemmel i sundhedslovgivningen og foretages af sundhedspersonale, der er underlagt tavshedspligt.

Dobbelthjemlen i dette tilfælde er:

  • Artikel 6, stk. 1, litra e: Offentlig myndighedsudøvelse
  • Artikel 9, stk. 2, litra h: Sundhed og socialforsorg.

Folkesundhed

Artikel 9, stk. 2. litra i.

Følsomme personoplysninger kan behandles, hvis det er nødvendigt af hensyn til samfundsinteresser på folkesundhedsområdet. Det kan omfatte forebyggelse og beskyttelse mod sundhedstrusler, samt fx kvalitetsstandarder for sundhedspleje, medicinske produkter og medicinsk udstyr. Behandlingen skal have hjemmel il lovgivning.

Eksempel

En sundhedsmyndighed behandler oplysninger om borgeres helbred og vaccinationer for at overvåge og bekæmpe spredningen af en smitsom sygdom. Behandlingen er nødvendig for at beskytte folkesundheden mod en epidemi.

Dobbelthjemlen i dette tilfælde er:

  • Artikel 6, stk. 1, litra e: Offentlig myndighedsudøvelse
  • Artikel 9, stk. 2, litra i: Folkesundhed

Arkivering og forskning

Artikel 9, stk. 2. litra j.

Følsomme personoplysninger kan behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål, samt til statistiske formål. Formålet med behandlingen skal være klart afgrænset og nødvendigt for at opfylde et væsentligt samfundsmæssigt behov, som har basis i lovgivning, og skal ske under passende foranstaltninger med hensyn til de registrerede. 

Eksempel

Et universitet indsamler og behandler helbredsoplysninger fra en stor gruppe deltagere som led i et forskningsprojekt om langtidseffekterne af en bestemt medicinsk behandling. Behandlingen sker udelukkende til videnskabelige formål, og oplysningerne pseudonymiseres for at beskytte deltagernes privatliv.

Dobbelthjemlen i dette tilfælde er:

  • Artikel 6, stk. 1, litra e: Offentlig myndighedsudøvelse
  • Artikel 9, stk. 2, litra j: Arkivering og forskning

Opsummering

Denne artikel har gennemgået de forskellige hjemler, som du kan anvende til behandlingen af følsomme personoplysninger, samt brugen af dobbelthjemlen. 

Denne artikel er tiltænkt som en guide til at identificere den hjemmel, som du skal bruge til dine behandlinger af personoplysninger. Vi anbefaler, at du tager et kig i databeskyttelsesforordningens artikel 9 for at finde den korrekte ordlyd for de forskellige hjemler.

Processing activities

.legal compliance platform Start din compliance rejse i dag

Er du nysgerrig på at prøve platformen selv? Oplev vores gratis compliance platform og start din compliance rejse i dag.
  • Kreditkort ikke nødvendigt
  • Ubegrænset tid på gratis plan
  • Ingen binding
Start nu
Book demo
+290 store og små virksomheder bruger .legal
Region Sjælland
Aarhus Universitet
aj_vaccines_logo
Realdania
Right People
IO Gates
Georg Jensen
PLO
Finans Danmark
geia-food
Vestforbrænding
arp-hansen-hotel-group-logo-1
Boligkontoret danmark
Evida
Klasselotteriet
NRGI1
BLUE WATER SHIPPING
Karnov
VP Securities
AH Industries
Energi Viborg
Ingvard Christensen
Lægeforeningen
InMobile
Zwipe
AK Nygart
DEIF
DMJX
KAUFMANN (1)
qUINT Logo
Axel logo
Footer topswirl

Info

.legal A/S

hello@dotlegal.com
+45 7027 0127

CVR: 40888888

Support

support@dotlegal.com
+45 7027 0127
Brug for hjælp?

status page badge

Platform status

Kontorer

Aarhus

Store Torv 14, 2. sal
8000 Aarhus C

København

Vesterbrogade 26
1620 København V

Produkter

Lad mig hjælpe jer i gang

mads-i-blob
Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
arrow-right-white Få en demo

.legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

Footer bottomswirl